SOC Prime Bias:

21 Apr 2026 15:16 UTC

迷惑な広告だけじゃない: AdwareバンドルがGh0st RATを配信

Author Photo
SOC Prime Team linkedin icon フォローする
迷惑な広告だけじゃない: AdwareバンドルがGh0st RATを配信
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

概要

最近のキャンペーンでは、Gh0stリモートアクセス型トロイの木馬とCloverPlusアドウェアコンポーネントが一緒に配信されます。そのローダーは2つの暗号化されたリソースを隠し、ランダムに選ばれた位置に書き込んでRATを起動します rundll32.exe。マルウェアは、いくつかの持続的手法をトークン操作、DNSハイジャック、キー記録と組み合わせて、長期間にわたってアクセスを維持しつつ、クリック詐欺による収益を生成します。その正当なWindowsバイナリの使用と層状の難読化は検出をさらに困難にします。

調査

Splunk脅威研究はローダーをリバースエンジニアリングし、埋め込みのGh0st RAT DLLとCloverPlusアドウェアモジュールが含まれていることを確認しました。行動分析では、トークン特権の昇格、VMwareベースの環境のレジストリチェック、デッドドロップリゾルバーの使用、pingベースの休止遅延、DNSスプーフィング、およびWindowsレジストリに根ざした複数の持続的手法を明らかにしました。調査では、不自然な rundll32.exe 実行、ペイロードの起動元 %temp%、および感染連鎖に関連する特定のレジストリ修正を含む指標も文書化されました。

緩和策

防御者は、 rundll32.exe 異常な拡張子を持つファイルの読み込みや非標準ディレクトリからのコンテンツの実行に注意を払うべきです。セキュリティチームはまた、 RemoteAccess ルーターマネージャーレジストリエントリの作成やRunキーに対する不審な変更をブロックまたは警告するべきです。ネットワーク制御は、特定されたデッドドロップリゾルバーURLへのアクセスを制限し、マルウェアの回避に関連するpingベースの休止動作にフラグを立てるべきです。アプリケーション制御ポリシーは、許可されていないDLLの読み込みを防止することでリスクをさらに低減します。

対応策

この活動が検出された場合は、影響を受けたホストを隔離し、揮発性証拠と疑わしいDLLを収集し、ハッシュベースの照会を行って脅威を確認します。持続性のために使用される悪意のあるレジストリエントリやサービスを削除してください。露出した資格情報、特にRDP使用に関連するものをリセットし、DNS設定やホストファイルを未承認の変更に対して調査します。その後、追加のバックドアや二次ペイロードが残っていないことを確認するための完全なフォレンジックレビューを実施するべきです。

攻撃フロー

シミュレーション

この部分はまだ更新中です。通知を受け取るためにサインアップしてください

通知する